09.04.2014

Odkar se je razširila novica o “virusu, ki je okužil dve tretjini spleta”, nas ves dan kličejo tako zaskrbljeni uporabniki kot tudi novinarji. Najprej moramo pojasniti, da ne gre za virus, ampak za ranljivost programske knjižnice OpenSSL.

Kaj to pomeni? 

heartbleed ranljivost
vir foto: Heartbleed.com

Programska knjižnica OpenSSL se uporablja za večino šifriranja na internetu. Ko se, npr. prijavite v spletno banko in se vam v naslovni vrstici izpiše https in nariše ključavnica, pomeni, da so podatki, ki se pretakajo med vašim brskalnikom in spletnim strežnikom banke šifrirani in jih načeloma nihče ne more prestreči, zadaj v večini primerov stoji ravno program OpenSSL. V tem programu pa je bila najdena zelo resna varnostna pomankljivost pri implementaciji protokola z imenom Heartbleed (zato tudi tako ime). Po domače povedano –  manjši del programa OpenSSL je bil slabo napisan. Posledica izrabe te ranljivosti je, da napadalec lahko iz strežnika pridobi šifrirne ključe, kar mu omogoča, da razbije šifriranje – se pravi, da povezava med brskalnikom in strežnikom ni več varna. Vendar pa je na drugi strani res, da niso bili ranljivi vsi strežniki, varnostna pomanjkljivost ni prisotna v vseh verzijah knjižnice.

Kaj lahko naredimo uporabniki?

Velika težava je v tem, da tak napad, pri katerem napadalec na opisan način pridobi šifrirne ključe, ni razviden v dnevniških datotekah, kar pomeni, da trenutno še ne vemo, ali se taki napadi dejansko izkoriščajo v praksi. Na srečo je bil že izdan popravek za OpenSSL, ki opisano ranljivost odpravlja, tako da lahko administratorji strežnikov zelo hitro odpravijo ranljivost. Ker pa obstaja možnost, da so šifrirni ključi strežnikov tudi zlorabljeni, vsem administratorjem priporočamo tudi zamenjavo šifrirnih ključev. Domači uporabniki zaenkrat ne moremo nič storiti, zamenjava gesel na vrat na nos (npr. za spletno banko, elektronski predal) trenutno ni smiselna, počakajmo vsaj dokler nam ponudniki ne sporočijo, da so odpravili ranljivost!  Sicer pa gre za eno izmed hujših varnostnih pomankljivosti v zadnjih letih.

Vsebine, ki vam lahko pomagajo
0

Redne posodobitve so prvi korak k varnemu brskanju

Od takrat, ko ste operacijski sistem namestili na računalnik (oziroma od nakupa računalnika) in naložili spletni brskalnik je bilo odkritih veliko število varnostnih ranljivosti, za katere je proizvajalec medtem že izdal popravke. Obvestil o novih različicah, ki so na voljo, zato ni pametno ignorirati, saj z njimi prihajajo tudi paketi…

Vaš komentar

Vaš e-naslov ne bo nikoli objavljen ali posredovan tretjim osebam.
Obvezna polja so označena z *